Anonym im Netz Schütze Deine Identität
  • facebook

ransomwareNicht nur durch Menschenraub lassen sich Lösegelder erpressen – In der heutigen Zeit sind Daten ebenfalls extrem wertvoll, sogar so wertvoll, dass viele Privatpersonen und Unternehmen dafür zahlen, damit sie sie nach einem Verlust wiedererhalten. Dies machen sich cyberkriminelle « Datenentführer » zu nutze und erhalten hohe Lösegelder bequem von ihrem Büro aus.

Da man Daten nicht wirklich entführen kann, sondern höchsten kopieren und löschen, benutzen die Cyberkriminellen einen Trick: Sie verschlüsseln die fraglichen Daten mit sicherer Kryptographie und löschen die unverschlüsselten Originale. Somit sind die Daten zwar immernoch auf ihrem Computer, aber Sie kommen ohne den passenden Schlüssel nicht heran. Ist die Verschlüsselung technisch einwandfrei, so gibt es keinen Weg diese zu brechen. Brute-Force Angriffe könnten Jahre oder Jahrzehnte dauern.

Die Verschlüsselung wird meist von einem Trojaner durchgeführt, der auf den üblichen Wegen in den Rechner eingeschleppt wird. Ein Anhang einer E-Mail, den man unbeding öffnen soll, um vor finanziellem Schaden verschont zu bleiben. Ein Keygenerator, um die neuste Software kostenlos zu aktivieren – oder ein Plugin-Update, um einen Film online schauen zu können. Es geht immer darum, den Benutzer dazu zu bringen, die Schadsoftware auf seinem Rechner zu starten.

Hat er dies getan, so macht sich der Trojaner ans Werk und verschlüsselt und löscht die Daten des Benutzers. Der Rechner zeigt dann nach dem Start nur noch einen Hinweis, dass für die Daten ein Lösegeld bezahlt werden muss. Manchmal wird auch behauptet, es handle sich um eine Geldstrafe, die für illegale Downloads ans BKA bezahlt werden müsse – dies passt natürlich optimal, wenn sich der Benutzer den Trojaner z.B. von einem Bittorrent-Download eingefangen hat.

ransomware2

Die Kriminellen verbergen die Geldflüsse durch den Einsatz möglichst anonymer Zahlungsarten, wie Bitcoin, WebMoney, Money2Go, Paysafecard, Ukash etc. Um den Benutzer unter Druck zu setzen, wird meist in den ersten Tagen eine Art Sonderpreis angeboten. Danach verdoppelt sich der Preis, um die Daten wiederzubekommen.

Wer auf die Erpressung eingeht, erhält auch meist wirklich den Schlüssel und damit seine Daten wieder.

Was kann man tun?

  • Regelmässige Backups halten! Der einfachste und sinnvollste Weg. Backups sollte man ohnehin aus diversen Gründen haben, z.B. weil die Hardware kaputt gehen kann, gestohlen oder beschlagnahmt wird oder eben wegen der Ransomware. Einfach das letzte Backup aufspielen und die Daten sind wieder da.
  • Es gelten weiterhin die üblichen Sicherheitsregeln bezüglich Trojanern (keine E-Mail Anhänge öffnen, keine Downloads aus dubiosen Quellen etc.)

Hier helfen auch Backups nicht:

Die Kriminellen haben aber inzwischen einen Weg gefunden Onlineanbieter trotz vorhandenem Backup zu erpressen. Sie hacken den Server des Onlineanbieters und bauen eine transparente Funktion ein, welche neue Einträge nur noch verschlüsselt in der Datenbank speichert. Der passende Schlüssel wird online vom Server der Angreifer geladen und die Daten on-the-fly wieder entschlüsselt. Somit bemerkt der Dienstanbieter erstmal nichts von dem erfolgreichen Angriff. Erst nach einigen Wochen oder Monaten wird der Schlüsselserver abgeschaltet und der Schaden sichtbar. Da der Schlüssel nicht lokal auf dem Server gespeichert war, liegt er meist nicht mehr vor. Sämtliche Backups der letzten Monate haben bereits die verschlüsselten Daten gespeichert und sind ohne Schlüssel unbrauchbar. Potentiell unverschlüsselte Backups sind hoffnungslos veraltet.

Das es sich nicht um einen Angriff auf Privatanwender handelt, werden hier teilweise fünfstellige Summen über die üblichen anonymen Zahlungsweisen gefordert.

Ransomware – Lösegeld für Ihre Daten
Bewerten Sie diesen Beitrag

Comments (3)

  1. Ann O. Nyma said on 10-02-2015

    Ein Anbieter, der seinen Server nicht wenigstens per z.B. tripwire(.org) sichert, hat es nicht besser verdient!
    Mein Honeypot (mit steinaltem Apapche und PHP ;)) wird regelmässig gehackt und ich sehe es eben an Dateiänderungen.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.